News IT-Sicherheitsforschung: Bundesregierung will Hacker-Paragraf entschärfen

[Project 2501]

Einige Leute im Staatsapparat habe ein Interesse daran, dass Sicherheitslücken offen bleiben.

Das ist die einzig logische Erklärung.

Ergänzung (27. Oktober 2024)

Bei ner schlecht gesicherten API gehst du kurz auf ner Webseite in die Webkonsole, guckst dir ein paar Requests an, modizifierst vielleicht mal einen und hast dann schon "gehackt". Kann doch nicht sein, dass du damit schon mit einem Bein im Knast stehst

"Sie werden sich noch wundern, was alles möglich ist"

https://www.zeit.de/2016/50/norbert-hofer-bundespraesident-amt-veraenderung-mittel

 

[UrlaubMitStalin]

Schön zu sehen, dass die Ampel nicht müde wird, die Fehler von Merkel zu korrigieren.
Von den Reformen der 4 Jahren Ampel werden wir die nächsten 16 Jahre CDU zehren.

 

[Boimler]

Der oberste Sinn von Gesetzen ist die Schutz von Bürgern, Menschen und dem Staatsgebilde an sich.

Und deshalb darf die Absicht von jemandem, der eine Sicherheitslücke meldet, auch keine Rolle bei der Erwägung spielen, ob man gegen ihn ermittelt oder nicht. Man kann den Leuten eben nur vor den Kopf gucken.

 

[SSD960]

Wenns mal wieder länger dauert: Snik.....
Im Ernst, der Ansatz ist ziemlich spät und nicht richtig umgesetzt .

 

[Miuwa]

Keine

Also ich hab das einfach als Bezeichnung für jemanden gelesen, der sich halt in dem Moment mit der Sicherheit eines Systems beschäftigt - also schlicht um die Leute, um die es hier geht. Nicht als exklusive Berufsgruppe, deren Mitglieder irgendwo registriert sein müssen.

 

[DevPandi]

Da können IT-Schlamper/-en pfuschen wie sie wollen, wer das als Hacker·in meldet muss dennoch mit Anzeige rechnen und der oftmals folgenden Hausdurchsuchung samt Sicherstellung aller Computersysteme in der Wohnung.

Das Problem an der Stelle - lassen wir mal das Gesetz außer Acht - sind dann aber eher die Menschen und wie diese Ticken.

Es gibt genug Firmen, Organisationen und Personen, die auf die Meldung einer Sicherheitslücke nicht mit einer Anzeige oder Klage reagieren, sondern die Meldung entsprechend auch aufnehmen sich dafür bedanken.

Hier ist das Problem eher der Mensch, der lieber keine eigenen Fehler eingestehen will und die Schuld bei anderen sucht.

Was es braucht ist endlich gescheite Haftung/Strafen für IT-Pfusch!

Nein, die braucht es nicht und es wäre Kontraproduktiv. Softwareentwicklung ist ein komplexes Thema und viele Sicherheitslücken entstehen eher aus Unachtsamkeit oder aus komplexen Zusammenspiel aus einzelnen Komponenten.

So ein Gesetz wäre genauso schädlich wie der Hackerparagraph, sogar noch schädlicher, weil jeder Entwickler und jede Firma potenziell mit Klagen, Strafen und Co Rechnen muss. Keiner würde das Risiko noch eingehen, Software zu entwickeln oder auf den Markt bringen, bis auf große Firmen, die sich entsprechend absichern können.

Fehler passieren und sind menschlich und entsprechend gut wäre es, wenn die Menschen mit Fehlern umgehen, sowohl mit den eigenen als auch denen der anderen. Weniger Vorwürfe und Empörung und mehr Gelassenheit.

 

[tomgit]

Nein, die braucht es nicht und es wäre Kontraproduktiv. Softwareentwicklung ist ein komplexes Thema und viele Sicherheitslücken entstehen eher aus Unachtsamkeit oder aus komplexen Zusammenspiel aus einzelnen Komponenten.

Naja, ich vermute, dass hier nicht nur die Software-Entwicklung, sondern auch die Implementierung gemeint sein dürfte - dass eben Unternehmen und Organisationen zu einem gewissen Mindestmaß an Cyber Security verpflichtet sein sollten und dies auch regelmäßig überprüfen (lassen). Auch außerhalb von KRITIS-Unternehmen, wobei das auch hier nicht ganz zu Ende gedacht und gemacht wurde.

Software-Buden sollten schon irgendwie dazu veranlasst werden, dass gemeldete Lücken auch gefixt werden. Wie man dies am sinnvollsten macht, ohne Unternehmen oder Startups noch mehr zu vergraulen, ist natürlich eine andere Frage. Vielleicht könnte hier das BSI eine proaktive Stelle schaffen, keine Ahnung.

Fehler passieren und sind menschlich und entsprechend gut wäre es, wenn die Menschen mit Fehlern umgehen, sowohl mit den eigenen als auch denen der anderen. Weniger Vorwürfe und Empörung und mehr Gelassenheit.

Dass Fehler passieren, ist ja nicht das Problem, und jeder, der sich mit Softwareentwicklung befasst hat, weiß, wie einfach sich Bugs einschleichen können.
Das Problem ist eher der Umgang mit Fehlern.

 

[DonDonat]

Man sieht hier sehr gut "Internet Neuland in Deutschland".
Wie eine der führenden Industrie Nationen es nicht schafft, dass IT Sicherheit und deren Forschung sinnvoll legal sein kann und auch mit dem neuen Entwurf hier noch deutlich Luft nach oben besteht, ist ein weiteres Symptom davon wie wenig egal welche Partei IT ernst nimmt.

Das fängt schon bei der Bildung und dessen Mangel an, geht über Investition und dessen Nicht-Existenz bis eben hin zu Gesetzen oder Verständnis von Politikern wieso ihre Ideen schlecht sind. Gerade für Politiker wäre vielleicht eine 2 Wochen Intensiv-Schulung zum Thema IT und IT Sicherheit nett, inklusive einer Erklärung zur Verschlüsselung damit auch der letzte verstanden hat, dass eine "Ausnahme" für Staaten in Verschlüsselungen mathematisch unmöglich sicher sein können... Und ein nettes "Was ist hacking, wie funktioniert es" wäre auch gut, damit solche lächerlichen Klagen wie "Rechts klick, Element untersuchen, oh Daten liegen unverschlüsselt vor" nicht mehr verklagt werden kann...

Aber immerhin wollen sie hier was machen, besser als nichts kann man sagen.

 

[Piktogramm]

Und deshalb darf die Absicht von jemandem, der eine Sicherheitslücke meldet, auch keine Rolle bei der Erwägung spielen, ob man gegen ihn ermittelt oder nicht. Man kann den Leuten eben nur vor den Kopf gucken.

Das ist vollkommen üblich, dass der Staatsanwaltschaft eingeräumt wird Ermittlungen einzustellen. 2021 wurde §184b StGB von der CDU/SPD Regierung verschärft und die Mindeststrafe auf ein Jahr erhöht. Damit musste die Staatsanwaltschaft in jedem Fall ermitteln, was aber etwas nach hinten losging, weil so die Zahlen explodierten wo Jugendliche die sich gegenseitig entsprechende Inhalte zugesandt hatten das Vollprogramm der Ermittlungsmethoden abbekamen.
https://www.n-tv.de/politik/Kabinett-justiert-beim-Thema-Kinderpornografie-nach-article24720348.html
Als Folge wurde das Strafmaß wieder gesenkt und in der Gesetzesbegründung auch genannt, dass das Ziel ist in Fällen der (einvernehmlichen) Zusendung entsprechender Inhalte unter Jugendlichen eben nicht die Ermittlung zu eskalieren.

Es ist also durchaus möglich.

Nein, die braucht es nicht und es wäre Kontraproduktiv. Softwareentwicklung ist ein komplexes Thema und viele Sicherheitslücken entstehen eher aus Unachtsamkeit oder aus komplexen Zusammenspiel aus einzelnen Komponenten.

Die Entwicklung der meisten technischen Geräte ist aufwendig und dennoch greift da das Produkthaftungsgesetz und es wird erwartet, dass sich an europäische Normen gehalten wird (CE Kennzeichen als Konformitätserklärung). Wieso zur Hölle sollte Software und digitale Serviceangebote da anders behandelt werden?

So ein Gesetz wäre genauso schädlich wie der Hackerparagraph, sogar noch schädlicher, weil jeder Entwickler und jede Firma potenziell mit Klagen, Strafen und Co Rechnen muss. Keiner würde das Risiko noch eingehen, Software zu entwickeln oder auf den Markt bringen, bis auf große Firmen, die sich entsprechend absichern können.

Eine Marktbereinigung gegenüber allen, die pfuschen wäre schon das Ziel. Wobei die Großen Anbieter ja auch immer wieder durch größere Fehler auffallen. An der Stelle wäre es Imho schon sinnvoll Anreize zu setzen bei der Sicherheitsarchitektur nicht zu sehr zu sparen. So ein paar % vom globalem Jahresumsatz als Strafe für Schlamperei lassen Investition in IT-Sec alsbald als lohnend erscheinen.

Es muss halt nur vermieden werden, dass wieder irgendwelche Sonderregelungen beschlossen werden, die die internen Gesetze für EU externe Anbieter ausschließen.

 

[pseudopseudonym]

Wieso zur Hölle sollte Software und digitale Serviceangebote da anders behandelt werden?

Weil moderne Software anders funktioniert als Hardware. Das fängt schon damit an, dass wir heutzutage lauter Abhängigkeiten haben, die sich gar nicht einzeln bis ins letzte Detail überprüfen lassen.

 

[DevPandi]

Software-Buden sollten schon irgendwie dazu veranlasst werden, dass gemeldete Lücken auch gefixt werden

Da stimme ich dir auch weitgehend zu, nur ist das, was du jetzt bescheibst, etwas anderes als das ursprüngliche Zitat, in dem ja gescheite Strafen für IT-Pfusch gefordert werden.

Wenn eine Firma eine Sicherheitslücke, trotz Kenntniss nicht behebt, dann schreiben wir hier schon von einer bewussten Handlung, und dass man hier dann die Firma oder die Entwickler haftbar machen sollte, dem kann ich sogar weitgehend Zustimmen.

Wie man dies am sinnvollsten macht, ohne Unternehmen oder Startups noch mehr zu vergraulen, ist natürlich eine andere Frage.

Es geht ja hier nicht nur mehr um Unternehmen und Startups, sondern auch um die ganzen Menschen, die sich im OpenSource-Bereich betätigen und in den vergangen 20 Jahren, gerade die Weblandschaft, massiv bereichert haben und deren Arbeit vieles so heute nicht funktionieren würde.

Wenn wir hier Gesetzte gegen "Software-Pfusch" gehabt hätten, die hier auch schwere Strafen, Haftbarkeiten und Co gehabt hätten, dann wären viele Entwicklungen nie in der Form passiert und unsere Software-Ökonomie wäre weitgehend kaputt.

Man denke mal an Django, Ruby on Rails, TinyMCE, CKEditor, Wordpress, phpBB, Symfony, NodeJS und Co und darauf aufbauend auch viele andere Sachen, die heute nicht mehr wegzudenken sind. Das sind alles Projekte, die einzelne Entwickler angestoßen haben, die organisch gewachsen sind und sich mit der Zeit professionalisiert haben und die Heute weitgehend die Grundlage für das WWW bilden und sogar für Apps und Co.

Und in diesen Systemen gab es viele Sicherheitslücken, Softwarepfusch und Co, die aber mit der Zeit beseitigt wurden. Würde man hier direkt mit dem Knüppel rein gehen, wäre das alles nie so gekommen.

Das Problem ist eher der Umgang mit Fehlern.

Und genau das ist der Punkt. Die Menschen reagieren bei Fehlern anderer Über, während sie die eigenen Fehler herunterspielen.

Das ist gerade in unserem Kulturkreis sehr normal und auch hier im Forum immer wieder zu beobachten, wie manche wegen kleinen Fehlern von Firmen und anderen Menschen an die Decke gehen und selbst denken, sie wären Fehler frei.

Die "deutsche" Fehlerkultur ist da besonders anstrengend, das merke ich jeden Tag auf der Arbeit, aber auch in meinem Umfeld. Da werden Fehler von anderen ausgeschlachtet und die Leute an den Pranger gestellt, gleichzeitig ist genau deswegen keiner bereit eigene Fehler einzugestehen, weil es als Schwäche ausgelegt wird.

Wieso zur Hölle sollte Software und digitale Serviceangebote da anders behandelt werden?

Es gibt ein paar graviednde Unterschiede zwischen Software- und "Hardware". Wenn man jetzt pauschal "Software-Pfusch" unter Strafe stellt, hat man absolut nichts gewonnen und würde das Entwickeln neuer Software quasi unmöglich machen und es wäre nur noch was für die reichsten Firmen der Welt.

Dazu kommt, dass in den Bereichen, in denen die Software wirklich Leib, Leben und Besitzt von jemanden gefährden kann, ohnehin die Produkthaftung greift oder sogar noch strengere Richtlinien, die auch die Software umfasst und entsprechend muss getestet werden - sofern die Behörden mal nicht wieder ausnahmen machen - Hust*FFA*Hust*Boeing*Hust.

In der Regel kommt es bei Software eher zu immateriellen Schäden und ggf. verloreren Zeit. Dumm, nur gibt es hier dann viel zu viele Variablen, die die auch ein Problem ausgelöst haben könnten. Hier dann zu beweisen, dass die Software wirklich Schuld ist, na viel Spaß dabei.

Viel wichtiger als eine Produkthaftung für Software, wäre es viel eher, dass man bestimmte Handlungen durch Firmen, Entwickler und Admins als fahrlässiges und grobfahrlässiges Verhalten definiert, ab dem es dann wirklich auch Konsequenzen hat.

Ein Admin der meint, dass ein Passwort "1234" ein gutes Passwort ist, handelt in meinen Augen grob fahrlässig und wenn es dann zum Schaden kommt, dann muss das hier auch Konsequenzen haben. Genauso für Entwickler, die heute noch meinen, dass man Passwörter in Klartext in der Datenbank ablegt oder MD5 "ausreichend" ist.

Ebenso, wenn Firmen und Entwickler nicht in einem passenden Zeitrahmen reagieren - nicht unbedingt den Fehler schon beheben.

 

[Piktogramm]

Weil moderne Software anders funktioniert als Hardware. Das fängt schon damit an, dass wir heutzutage lauter Abhängigkeiten haben, die sich gar nicht einzeln bis ins letzte Detail überprüfen lassen.

Das kommt allenfalls vom Unverständnis von Hardware. Egal ob bei Mechanik oder Elektronik wird darauf geachtet, dass Materialien Normen einhalten, Bauteile Toleranzen, die Auslegung passt und die Fertigung mindestens ausreicht um Gefährdung auszuschließen.
Im Zweifelsfall bedeutet das eben auch, dass man die Lieferkette in der Form begrenzt, dass man die Qualitätssicherung sicherstellen kann.

Bei der Software gibt es dann solche Meinungen wie bei dir "Man kann die ganzen Abhänigkeiten aber garnicht beherrschen". Oft gehört von Leuten die noch nichtmal wissen, dass es Dependency management gibt, dafür aber ein halbes Dutzend Abhänigkeiten mit kritischen CVEs im Repo haben.

Da stimme ich dir auch weitgehend zu, nur ist das, was du jetzt bescheibst, etwas anderes als das ursprüngliche Zitat, in dem ja gescheite Strafen für IT-Pfusch gefordert werden.

Wenn eine Firma eine Sicherheitslücke, trotz Kenntniss nicht behebt, dann schreiben wir hier schon von einer bewussten Handlung, und dass man hier dann die Firma oder die Entwickler haftbar machen sollte, dem kann ich sogar weitgehend Zustimmen.

Wieso Kenntnis? Wer es nicht gebacken bekommt und heute immer noch Software einsetzt die keine Inputsanitization betreibt, Klartext übermittelt bzw. Passwörter unzureichend hasht ignoriert allein die Mindestempfehlung vom BSI. Das ist Pfusch und gehört abgewatscht, ohne dass groß Zeit eingeräumt wird zum Nachbessern.
Wenn ein entsprechender Anbieter gefundene Lücken dann nicht behebt bzw. proaktiv dazu übergeht Fehler selber zu finden und zu beheben muss die Watsche größer werden.

Es darf für Anbieter nicht kostengünstiger sein bei der Qualität der Entwicklung zu sparen und damit zu pfuschen, als etwaige Strafen für diesen Pfusch!

Wenn wir hier Gesetzte gegen "Software-Pfusch" gehabt hätten, die hier auch schwere Strafen, Haftbarkeiten und Co gehabt hätten, dann wären viele Entwicklungen nie in der Form passiert und unsere Software-Ökonomie wäre weitgehend kaputt.

Wir leben bloß nicht mehr in den 1970ern, wir wissen es besser. So wie du hier argumentierst könnten wir auch weiter Blei ins Benzin tun, haben es ja früher gemacht.. Wir tun es aber nicht, wir wissen dass es doof war, wir haben es entsprechend abgestellt.

 

[Xiaolong]

Weil moderne Software anders funktioniert als Hardware. Das fängt schon damit an, dass wir heutzutage lauter Abhängigkeiten haben, die sich gar nicht einzeln bis ins letzte Detail überprüfen lassen.

Doch kann man. Sieht man sehr wohl an der Medizinbranche wo Bugs buchstäblich Leben kosten. Stell dir vor, durch eine "Unachtsamkeit" stirbt jemand, weil ein Herzschrittmacher der Meinung ist sich aufzuhängen und kein Signal mehr geben zu müssen, oder das Zwangsbeatmungsgerät dich nicht mehr ausatmen lässt.... Da gibt's genug Beispiele, wo das funktioniert. Eine klassische Ampel im Straßenverkehr hat schon Absicherungen noch und nöcher um Betrieben werden zu dürfen....

Es dauert am Ende nur deutlich länger dies zu entwickeln (=teurer) und das geht in unserer heutigen immer schneller, besser, weiter Kapitalismuswelt eben nicht. Man kann sehr wohl Softwaresysteme und Hardware mit Fokus auf Security schaffen, aber das ist eher ein Mindset, dies auch aktiv überall einbinden zu wollen. Es zählt nicht Security, sondern Profit, oftmals auf Kosten Anderer und wenn etwas hochkommt wird das ganz entspannt weggelächelt, es sei ja nicht so schlimm....

Es darf für Anbieter nicht kostengünstiger sein bei der Qualität der Entwicklung zu sparen und damit zu pfuschen, als etwaige Strafen für diesen Pfusch!

So isses. Aber hier ist wieder dieses lokal vs. global. Wie belangst du in der Praxis Firmen, welche hier keinen Sitz haben? The great Firewall of EU?

Das kommt allenfalls vom Unverständnis von Hardware. Egal ob bei Mechanik oder Elektronik wird darauf geachtet, dass Materialien Normen einhalten, Bauteile Toleranzen, die Auslegung passt und die Fertigung mindestens ausreicht um Gefährdung auszuschließen.

Und wie willst du das sicherstellen? Mit der ISO 27001.... ?
Bringt alles nichts, wenn dein Unterbau (Betriebssystem, Kernel) eine RCE erlaubt, dann ist das alles hinfällig. Der Zero Trust Ansatz ist da ein guter Ansatz. Es wird wohl nie eine 100%-ige Lösung geben, aber wenn alle sich mal an best practices halten würden, wäre schon viel gewonnen.

 

[pseudopseudonym]

Sieht man sehr wohl an der Medizinbranche wo Bugs buchstäblich Leben kosten. Stell dir vor, durch eine "Unachtsamkeit" stirbt jemand, weil ein Herzschrittmacher der Meinung ist sich aufzuhängen und kein Signal mehr geben zu müssen, oder das Zwangsbeatmungsgerät dich nicht mehr ausatmen lässt....

Das sind offline betriebene Geräte, bei denen die Software quasi nie wieder angefasst wird. Das sind dann auch so Geräte, auf denen noch Windows 2000 läuft, weil mit einem Upgrade die Zertifizierung dahin ist.
Wie willst du das bitte auf online betriebene Software, die regelmäßig Updates bekommt und bekommen muss übertragen? Die Entwicklungskosten für so ein medizinisches Gerät willst du sicher auch nicht für dein Android oder iOS hinlegen.

Bei der Software gibt es dann solche Meinungen wie bei dir "Man kann die ganzen Abhänigkeiten aber garnicht beherrschen". Oft gehört von Leuten die noch nichtmal wissen, dass es Dependency management gibt, dafür aber ein halbes Dutzend Abhänigkeiten mit kritischen CVEs im Repo haben.

Tja, hier hörst du es von einem, bei dem Dependency Management gemacht wird. Würden wir Software nach deinen Ideen entwickeln, könnte das niemand bezahlen. Sind nämlich keine medizinischen Geräte, die 20 Jahre laufen.

 

[Piktogramm]

Und wie willst du das sicherstellen? Mit der ISO 27001.... ?

Aller meistens wird bei ISO27001 und Ähnlichen in den Betrieben viel Papier erzeugt, aber seltenst wird wird dann wirklich Prozesse so gelebt wie es in Norm und in der eigenen Prozesslandschaft festgelegt ist. Damit geht Imho die beabsichtigte Wirkung der ISO in Rauch auf, verschlimmert sie mitunter gar, weil sich irgendwer wegen der Zertifizierung ins Hemd macht und man doch bitte ja nichts ändert solle -.-
Wie gesagt, ich bin für empfindliche Strafen für Pfusch und Pflicht zur zügigen Nachbesserung bei komplexeren Fehlern. Da kann man ganz gut die Leitfäden von BSI, Owasp oder NIST zu Anforderungen an IT-Sicherheit nutzen.

Tja, hier hörst du es von einem, bei dem Dependency Management gemacht wird. Würden wir Software nach deinen Ideen entwickeln, könnte das niemand bezahlen. Sind nämlich keine medizinischen Geräte, die 20 Jahre laufen.

Aus Erfahrung, in der Medzinbranche ist die Qualität bei den aller meisten Anbietern katastrophal. Da kippen Geräte teils um wenn man nur Portscans lostritt[1]. Wobei die Branche gar nicht soooo begeistert ist, wenn man ihnen schreibt, dass sie da Probleme haben. Eskalation ist dann, wenn man darauf hinweist, dass das was sie da als Software verbrochen haben so nicht von der Gematik hätte zertifiziert werden dürfte (aber die prüfen überwiegend Papier..)
Ich bin ja durchaus ein Freund von weniger Software die irgendwie auf den Markt gebracht wird

Und ein Rant als Video zur Medizinischer Technik:
https://media.ccc.de/v/MRMCD16-7742-medical_security_nightmares#t=543


[1]Also fremde Netzwerke scannen ist übel, aber bitte tut dies nicht in Krankenhäusern, Praxen etc. Da kippt dann wirklich irgendein Gerät um -.-

 

[alyk.brevin]

wie wärs denn damit: nur schäden werden bestraft.

wenn man unabsichtlich oder aus neugierde oder mit krimineller absicht nach sicherheitslücken sucht bzw sicherheitslücken findet, gibt es keine strafe.

wenn man dabei unabsichtlich den betrieb stört (zb etwas löscht oder den server stark auslastet), kann schadensersatz dafür verlangt werden. die absicht sollte am umfang des schadens erkennbar sein.

wenn man die lücke verantwortlich meldet, bleibt man straffrei (und auch schadensersatzunpflichtig bei unbeabsichtigten schäden).

die lücke muss dann innerhalb einer angemessenen zeit geschlossen werden. nach ablauf könnte zb das ausnutzen der lücke straffrei werden.

erst, wenn man man stattdessen oder gleichzeitig die lücke bzw kopierte daten an dritte weitergibt oder mit erkennbarer absicht daten löscht/verschlüsselt oder den serverbetrieb stört oder erpresst, wird es eine straftat.
ebenso, wenn ein betreiber eine bekannte lücke nicht schließt und deshalb kundendaten verliert.
das sind aber sowieso schon straftaten/dsgvo-verstöße.

 

[Piktogramm]

@alyk.brevin
Das ist der bis jetzt schlechteste Vorschlag.

Zum einen deckt das StGB die Vorbereitung von Hacks ab, eben weil man nicht erst warten will, bis etwas passiert ist, wenn man entsprechendes Vorbereitung feststellen sollte. Die Vorbereitung straffrei zu stell würde glaube auch nicht viele Freunde bei den White Hats finden.

Schadensbezifferung ist immer schwer und "die Guten" schützt das auch nicht. Jene mit der Lücke können dann erstmal fröhlich behaupten, dass du böse bist, sehr viel Schaden feststellen und dann gäbe es eine lustige Mischung aus Staatsanwaltschaft die losmarschiert + zivilrechtliche Schadensersatzforderungen mit hohem Streitwert vor Gericht.

 

[Boimler]

Das ist vollkommen üblich, dass der Staatsanwaltschaft eingeräumt wird Ermittlungen einzustellen. 2021 wurde §184b StGB von der CDU/SPD Regierung verschärft und die Mindeststrafe auf ein Jahr erhöht.

Das Beispiel habe ich extra nicht genannt, weil es hier nicht annähernd um die gleiche Fallzahl geht. Es ist ja nicht so, dass der Hackerparagraph zu einer explosionsartigen Vermehrung von Ermittlungen geführt hätte.

 

[alyk.brevin]

Zum einen deckt das StGB die Vorbereitung von Hacks ab

was meinst du mit vorbereitung? das suchen und finden von sicherheitslücken ohne sofortige meldung? man soll dann immer davon ausgehen, dass eine straftat folgt? soll eine oma geswattet werden, wenn sie durch einen vertipper eine sql-injection durchführt?

Jene mit der Lücke können dann erstmal fröhlich behaupten, dass du böse bist, sehr viel Schaden feststellen

schaden kann natürlich nur ersetzt werden, der auch wirklich entstanden ist. wenn man die lücke verantwortlich meldet, zählt man zu den guten. solange man die lücke bzw daten nicht noch nebenher ausnutzt oder weitergibt.

 

[aspro]

Schadensbezifferung ist immer schwer und "die Guten" schützt das auch nicht. Jene mit der Lücke können dann erstmal fröhlich behaupten, dass du böse bist, sehr viel Schaden feststellen und dann gäbe es eine lustige Mischung aus Staatsanwaltschaft die losmarschiert + zivilrechtliche Schadensersatzforderungen mit hohem Streitwert vor Gericht.

Ernsthaft? Kein Gesetz der Welt wird verhindern können, dass dir gelangweilte Anwälte irgendeines Unternehmens verleumderische Vorwürfe an den Latz knallen und sich dann auch noch erdreisten das vor Gericht zu bringen. In dem Fall gibt es dann auch genug Gesetze, auf deren Grundlage man dann selbst das Unternehmen verklagen kann, falls sich diese Vorwürfe als unwahr herausstellen.